Agence web » Actualités du digital » Pourquoi certains ports réseau sont-ils risqués et comment les sécuriser? –

Pourquoi certains ports réseau sont-ils risqués et comment les sécuriser? –

Shutterstock / PeterPhoto123

Il existe un port réseau pour chaque type de trafic. Certains ports sont plus exposés que d’autres. Voici les pires contrevenants et ce que vous pouvez faire pour les protéger.

Adressage réseau

Les connexions réseau et Internet Transport Control Protocol / Internet Protocol sont établies d’une adresse IP à une autre. Pour plus de commodité, nous pouvons utiliser un nom de site Web tel que cloudsavvyit.com, mais c’est l’adresse IP sous-jacente qui est utilisée pour acheminer votre connexion vers le serveur Web approprié. La même chose fonctionne également en sens inverse. Le trafic réseau qui arrive sur votre ordinateur a été dirigé vers son adresse IP.

Votre ordinateur contiendra de nombreux programmes et services. Vous pouvez avoir une application de messagerie et un navigateur ouverts sur votre bureau. Vous utilisez peut-être un client de discussion comme Slack ou Microsoft Teams. Si vous administrez des machines distantes, vous utilisez peut-être une connexion Secure Shell (SSH). Si vous travaillez de chez vous et devez vous connecter à votre bureau, vous pouvez utiliser une connexion RDP (Remote Desktop Protocol) ou une connexion VPN (Virtual Private Network).

L’adresse IP identifie uniquement l’ordinateur. Cela ne peut pas être plus granulaire que cela. Mais le véritable point final d’une connexion réseau est une application ou un service exécuté. Alors, comment votre ordinateur sait-il à quelle application envoyer chaque paquet réseau? La réponse est en utilisant les ports.

Lorsqu’un coursier livre un colis à un hôtel, l’adresse postale identifie le bâtiment. Le numéro de chambre identifie la chambre et le client de l’hôtel. L’adresse de rue est comme l’adresse IP, et le numéro de chambre est comme l’adresse du port. Les applications et les services utilisent des ports spécifiques et numérotés. La destination réelle d’un paquet réseau est donc un port à une adresse IP. Cela suffit pour identifier l’application ou le service sur un ordinateur particulier auquel le paquet est destiné.

Numérotation des ports standard

Certains ports sont dédiés à des types de trafic spécifiques. Ceux-ci sont appelés les ports bien connus. Les autres ports sont enregistrés par les applications et réservés à leur utilisation. Voici les ports enregistrés. Il existe un troisième ensemble de ports disponibles pour toute application. Ils sont demandés, alloués, utilisés et libérés sur un ad hoc base. Ceux-ci sont appelés ports éphémères.

Un mélange de ports sera utilisé dans une connexion. La connexion réseau a besoin d’un port à l’extrémité locale de la connexion – dans l’ordinateur – pour se connecter à l’extrémité distante de la connexion – un serveur Web, par exemple. Si le serveur Web utilise HTTPS (Hypertext Transfer Protocol Secure), le port distant sera le port 443. Votre ordinateur utilisera l’un des ports éphémères libres pour établir une connexion au port 443 à l’adresse IP du serveur Web.

Il existe 65535 ports TCP / IP (et le même nombre de ports UDP (User Datagram Protocol)).

  • 0 – 1023: Ports bien connus. Ceux-ci sont attribués aux services par l’Autorité des numéros attribués à Internet (IANA). Par exemple, SSH utilise le port 22 par défaut, les serveurs Web écoutent les connexions sécurisées sur le port 443 et le trafic SMTP (Simple Mail Transfer Protocol) utilise le port 25.
  • 1024 – 49151: Ports enregistrés. Les organisations peuvent faire des demandes à l’IANA pour un port qui leur sera enregistré et attribué pour une utilisation avec une application. Bien que ces ports enregistrés soient appelés semi-réservés, ils doivent être considérés réservé. Ils sont appelés semi-réservés car il est possible que l’enregistrement d’un port ne soit plus nécessaire et que le port soit libéré pour être réutilisé. Cependant, même s’il n’est actuellement pas enregistré, le port est toujours dans la liste des ports enregistrés. Il est prêt à être enregistré par une autre organisation. Un exemple de port enregistré est le port 3389. Il s’agit du port associé aux connexions RDP.
  • 49152 – 65535: Ports éphémères. Ceux-ci sont utilisés sur une base ad hoc par les programmes clients. Vous êtes libre de les utiliser dans n’importe quelle application que vous écrivez. Ils sont généralement utilisés comme port local à l’intérieur de l’ordinateur lorsqu’il transmet à un port connu ou réservé sur un autre périphérique afin de demander et d’établir une connexion.

Aucun port n’est intrinsèquement sûr

Un port donné n’est ni plus sûr ni plus à risque que tout autre port. Un port est un port. C’est l’utilisation à laquelle le port est fait, et la manière dont cette utilisation est gérée en toute sécurité, qui détermine si un port est sécurisé.

Le protocole utilisé pour communiquer via un port, le service ou l’application qui consomme ou génère le trafic qui passe par le port doit être des implémentations actuelles et pendant la période de support de leur fabricant. Ils doivent recevoir des mises à jour de sécurité et de correction de bogues et celles-ci doivent être appliquées en temps opportun.

Voici quelques ports courants et comment ils peuvent être abusés.

Port 21, protocole de transfert de fichiers

Un port FTP non sécurisé hébergeant un serveur FTP est une énorme faille de sécurité. De nombreux serveurs FTP présentent des vulnérabilités qui peuvent permettre une authentification anonyme, des mouvements latéraux au sein du réseau, l’accès aux techniques d’élévation de privilèges et, du fait que de nombreux serveurs FTP peuvent être contrôlés via des scripts, un moyen de déployer des scripts intersites.

Des programmes malveillants tels que Dark FTP, Ramen et WinCrash ont utilisé des ports et des services FTP non sécurisés.

Port 22, coque sécurisée

Les comptes Secure Shell (SSH) configurés avec des mots de passe courts, non uniques, réutilisés ou prévisibles ne sont pas sécurisés et sont susceptibles d’être facilement compromis par des attaques par dictionnaire de mots de passe. De nombreuses vulnérabilités dans les implémentations antérieures des services et démons SSH ont été découvertes et sont toujours en cours de découverte. Les correctifs sont essentiels pour maintenir la sécurité avec SSH.

Port 23, Telnet

Telnet est un service hérité qui devrait être retiré. Il n’y a aucune justification pour utiliser ces moyens anciens et peu sûrs de communication textuelle. Toutes les informations qu’il envoie et reçoit via le port 23 sont envoyées en texte brut. Il n’y a pas du tout de cryptage.

Les acteurs de la menace peuvent espionner n’importe quelle communication Telnet et peuvent facilement choisir les informations d’authentification. Ils peuvent effectuer des attaques man-in-the-middle en injectant des paquets malveillants spécialement conçus dans les flux de texte non masqués.

Même un attaquant distant non authentifié peut exploiter une vulnérabilité de dépassement de mémoire tampon dans le démon ou le service Telnet et, en créant des paquets malveillants et en les injectant dans le flux de texte, exécuter des processus sur le serveur distant. Il s’agit d’une technique connue sous le nom d’exécution de code à distance (ou abitrary) (RCE).

Port 80, protocole de transport hypertexte

Le port 80 est utilisé pour le trafic HTTP (Hypertext Transport Protocol) non sécurisé. HTTPS a pratiquement remplacé HTTP, mais certains HTTP existent toujours sur le Web. Les autres ports couramment utilisés avec HTTP sont les ports 8080, 8088, 8888. Ils ont tendance à être utilisés sur des serveurs HTTP et des proxys Web plus anciens.

Le trafic Web non sécurisé et les ports associés sont sensibles aux scripts et aux falsifications intersites, aux attaques de dépassement de mémoire tampon et aux attaques par injection SQL.

Port 1080, proxys SOCKS

SOCKS est un protocole utilisé par les mandataires SOCKS pour acheminer et transférer les paquets réseau sur les connexions TCP vers des adresses IP. Le port 1080 était l’un des ports de choix à un moment donné, pour les logiciels malveillants tels que Mydoom et de nombreuses attaques de vers et de déni de service.

Port 4444, protocole de contrôle de transport

Certains logiciels de rootkit, de porte dérobée et de cheval de Troie ouvrent et utilisent le port 4444. Il utilise ce port pour écouter le trafic et les communications, pour ses propres communications et pour exfiltrer les données de l’ordinateur compromis. Il est également utilisé pour télécharger de nouvelles charges utiles malveillantes. Les logiciels malveillants tels que le ver Blaster et ses variantes utilisaient le port 4444 pour établir des portes dérobées.

Port 6660-6669, chat relais Internet

Internet Relay Chat (IRC) a commencé en 1988 en Finlande, et il est toujours en cours. Vous auriez besoin d’une analyse de rentabilisation en fonte pour autoriser le trafic IRC dans votre organisation ces jours-ci.

Il y a eu d’innombrables vulnérabilités IRC découvertes et exploitées au cours des quelque 20 années d’utilisation. Le démon UnrealIRCD avait une faille dans sa version 2009 qui rendait l’exécution de code à distance une affaire triviale.

Port 161, protocole de messagerie petit réseau

Certains ports et protocoles peuvent fournir aux attaquants de nombreuses informations sur votre infrastructure. Le port UDP 161 est attrayant pour les acteurs de la menace car il peut être utilisé pour interroger les informations des serveurs, à la fois sur eux-mêmes et sur le matériel et les utilisateurs qui se trouvent derrière eux.

Le port 161 est utilisé par le protocole de gestion de réseau simple qui permet aux acteurs de la menace de demander des informations telles que le matériel d’infrastructure, les noms d’utilisateur, les noms de partage réseau et d’autres informations sensibles qui sont, pour l’acteur de la menace, des informations exploitables.

Port 53, service de noms de domaine

Les acteurs de la menace doivent tenir compte de la voie d’exfiltration que leur malware utilisera pour transmettre des données et des fichiers de votre organisation à leurs propres serveurs.

Le port 53 a été utilisé comme port d’exfiltration de choix car le trafic via le service de noms de domaine est rarement surveillé. Les acteurs de la menace déguisaient vaguement les données volées en trafic DNS et les enverraient à leur propre faux serveur DNS. Le faux serveur DNS a accepté le trafic et a restauré les données dans leur format d’origine.

Numéros mémorables

Certains auteurs de logiciels malveillants choisissent des séquences de nombres faciles à retenir ou des nombres répétés à utiliser comme ports. Les ports 234, 6789, 1111, 666 et 8888 ont tous été utilisés pour cela. La détection de l’un de ces numéros de port étranges en cours d’utilisation sur votre réseau devrait déclencher une enquête plus approfondie.

Le port 31337, qui désigne l’élite dans le langage leet, est un autre numéro de port commun utilisé par les logiciels malveillants. Il a été utilisé par au moins 30 variantes de logiciels malveillants, dont Back Orifice et Bindshell.

Comment sécuriser ces ports

Tous les ports doivent être fermés, sauf s’il existe une analyse de rentabilisation documentée, examinée et approuvée. Faites de même pour les services exposés. Les mots de passe par défaut doivent être modifiés et remplacés par des mots de passe robustes et uniques. Si possible, une authentification à deux facteurs doit être utilisée.

Tous les services, protocoles, micrologiciels et applications doivent toujours être dans les cycles de vie de support des fabricants, et des correctifs de sécurité et de correction de bogues doivent être disponibles pour eux.

Surveillez les ports en cours d’utilisation sur votre réseau et examinez les anomalies ou les ports inexplicablement ouverts. Comprenez à quoi ressemble votre utilisation normale du port afin de pouvoir identifier un comportement inhabituel. Effectuer des analyses de port et des tests de pénétration.

Fermez le port 23 et arrêtez d’utiliser Telnet. Sérieusement. Arrête.

Les ports SSH peuvent être sécurisés à l’aide de l’authentification par clé publique et de l’authentification à deux facteurs. La configuration de votre réseau pour utiliser un numéro de port différent pour le trafic SSH vous aidera également.

Si vous devez utiliser IRC, assurez-vous qu’il est derrière un pare-feu et demandez aux utilisateurs IRC de se connecter à votre réseau VPN pour l’utiliser. N’autorisez aucun trafic extérieur à toucher directement votre IRC.

Surveillez et filtrez le trafic DNS. Rien ne doit quitter le port 53 à part les requêtes DNS authentiques.

Adoptez une stratégie de défense en profondeur et créez plusieurs niveaux de défense. Utilisez des pare-feu basés sur l’hôte et sur le réseau. Pensez à un système de détection d’intrusion (IDS) tel que Snort gratuit et open source.

Désactivez tous les proxys que vous n’avez pas configurés ou dont vous n’avez plus besoin.

Certaines chaînes de retour SNMP contiennent des informations d’identification par défaut en texte brut. Désactivez ceci.

Supprimez les en-têtes de réponse HTTP et HTTPS indésirables et désactivez les bannières incluses par défaut dans les réponses de certains matériels réseau. Celles-ci donnent inutilement des informations qui ne profitent qu’aux acteurs de la menace.

★★★★★